为什么 SSHD 会话保持打开状态

tag-icon tag-icon linux ssh
为什么 SSHD 会话保持打开状态 
root      4612     1  0 Jan26 ?        00:00:00 sshd: lp [priv]
sshd      4614  4612  0 Jan26 ?        00:00:00 sshd: lp [net]
root      4617     1  0 Jan26 ?        00:00:00 sshd: lp [priv]
sshd      4618  4617  0 Jan26 ?        00:00:00 sshd: lp [net]
root      4746     1  0 Jan28 ?        00:00:00 sshd: root [priv]
sshd      4747  4746  0 Jan28 ?        00:00:00 sshd: root [net]
root      5645     1  0 Feb01 ?        00:00:00 sshd: root [priv]
sshd      5646  5645  0 Feb01 ?        00:00:00 sshd: root [net]
root      6067     1  0 Jan30 ?        00:00:00 sshd: root [priv]
sshd      6068  6067  0 Jan30 ?        00:00:00 sshd: root [net]
root      6488     1  0 Jan27 ?        00:00:00 sshd: root [priv]
sshd      6489  6488  0 Jan27 ?        00:00:00 sshd: root [net]
root      6581     1  0 Jan29 ?        00:00:00 sshd: root [priv]
sshd      6582  6581  0 Jan29 ?        00:00:00 sshd: root [net]
root      6645     1  0 Feb02 ?        00:00:00 sshd: root [priv]
sshd      6646  6645  0 Feb02 ?        00:00:00 sshd: root [net]
root      6858     1  0 Jan25 ?        00:00:00 sshd: root [priv]
sshd      6859  6858  0 Jan25 ?        00:00:00 sshd: root [net]
root      7057     1  0 Jan26 ?        00:00:00 sshd: root [priv]
sshd      7058  7057  0 Jan26 ?        00:00:00 sshd: root [net]
root      7168     1  0 Jan28 ?        00:00:00 sshd: root [priv]
sshd      7169  7168  0 Jan28 ?        00:00:00 sshd: root [net]
root      7200     1  0 Jan23 ?        00:00:00 sshd: root [priv]
root      7201     1  0 Jan23 ?        00:00:00 sshd: root [priv]
root      7202     1  0 Jan23 ?        00:00:00 sshd: root [priv]
root      7203     1  0 Jan23 ?        00:00:00 sshd: root [priv]
sshd      7205  7200  0 Jan23 ?        00:00:00 sshd: root [net]
sshd      7206  7201  0 Jan23 ?        00:00:00 sshd: root [net]
sshd      7207  7202  0 Jan23 ?        00:00:00 sshd: root [net]
sshd      7208  7203  0 Jan23 ?        00:00:00 sshd: root [net]
root      7249     1  0 Jan23 ?        00:00:00 sshd: root [priv]
sshd      7250  7249  0 Jan23 ?        00:00:00 sshd: root [net]
root      7304     1  0 Jan30 ?        00:00:00 sshd: root [priv]
sshd      7305  7304  0 Jan30 ?        00:00:00 sshd: root [net]
root      8856     1  0 Jan29 ?        00:00:00 sshd: root [priv]

我的服务器设置为通过 IPTables 禁止暴力攻击,那么我如何才能找出为什么这些 SSHD 会话保持打开状态?

这与 SFTP 或 FTPS 有关吗

答案1

基本上,这张图片是扫描仪会话中暴力破解的典型残留,试图获取对系统的访问权限。通常他们不会正确关闭连接,因此它会保持打开状态相当长一段时间,或者,甚至他们会继续使用此连接进行身份验证尝试。如果您的系统日志包含大量这样的记录,error: PAM: authentication error for root from [...]那么就是这样。

您确实应该考虑使用以下技术来摆脱它们:

  • 使用失败禁止软件来阻止扫描仪。
  • 编写一个简单的脚本,扫描您的messages日志以寻找 IP 攻击者的地址,并将其添加到数据包过滤器的阻止 ACL 中以阻止攻击者访问。定期使用 调用它cron。我更喜欢这种处理扫描仪的特定方式。
  • 考虑添加PermitRootLogin no到您的sshd_config。然后使用普通用户帐户登录,然后在需要时使用sudo/su获取 root 访问权限。这种方式比默认的 Linux 方法更安全。此外,现代安全操作系统(如 Solaris、FreeBSD 甚至一些 Linux)也使用这种方法 - 当 root 帐户不是成熟的系统帐户,而是分配给某些用户的角色时。

相关内容